Mellékleteink: HUP | Gamekapocs
Keres
Komoly security line-up az idei SYSADMINDAY-en: FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig!

Születőben az RSA új biztonsági specifikációja, az OTP

Budai Péter, 2005. február 22. 12:54
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

[eWeek/HWSW] Az RSA annak érdekében, hogy az OTP (one-time password, egyszer használható jelszó) technológiája minél előbb elterjedhessen a vállalati felhasználók körében, hat új nyílt specifikációt tesz közzé, hogy azokat nyilvános konzultáció keretében vitassák meg az iparág szereplői.

[eWeek/HWSW] Az RSA annak érdekében, hogy az OTP (one-time password, egyszer használható jelszó) technológiája minél előbb elterjedhessen a vállalati felhasználók körében, hat új nyílt specifikációt tesz közzé, hogy azokat nyilvános konzultáció keretében vitassák meg az iparág szereplői.

Azonosítás mindig más jelszóval

A vállalat az RSA Security 2005 konferencián számolt be arról, hogy az OTP specifikációit mind az IETF (Internet Engineering Task Force), mind az OASIS (Organization for the Advancemenet of Structured Information Standards) számára elérhetővé fogja tenni.

Jason Lewis, az RSA Security alelnöke szerint az OTP technológiákra építkező nemzetközileg elfogadott szabványok képezik azt az ugródeszkát, amivel a lényegesen nagyobb biztonságot, és egyben egyszerűséget is biztosító azonosítási rendszer elterjedhet a nagyvállalatok körében is. "A specifikációk az egyszer használható jelszavak létrehozásának teljes életciklusát lefedik. Szó esik bennük a jelszó útjáról a visszanyerés, szállítás és a validáció folyamatain keresztül" -- ismertette Lewis.

A vállalati szabványok meglétének hiánya nagyban csökkentette az OTP ipari felhasználását. Általában az OTP technológia segítségével olyan jelszó-sorozatokat gyártanak le, amivel egy adott rendszerbe történő belépés valósítható meg, de minden egyes jelszó csak egyszeri alkalommal használható. Biztonsági szakemberek véleménye szerint ez a megoldás teljesen megszünteti az ismétlésen alapuló támadások lehetőségét.

A nehézség az összekapcsolt rendszerek kezelésében rejlik

Az első öt specifikáció már felkerült az internetre, és Lewis elmondása szerint a most következő időszakban levelezőlistákon és a teljes iparágat átfogó megbeszéléseken alakítják tovább a szabványok végleges formáját. A kezdeményezést több informatikai nagyvállalat is támogatja, így például a Microsoft, az Adobe, a Check Point, a Juniper és a Cisco.

Lewis elmondta, hogy az új specifikációk az RSA Security úttörő megoldásaira épülnek, amik már mind bizonyították hasznukat nagyvállalati alkalmazásuk kapcsán is. Ide tartozik a PKCS (Public Key Cryptography Standards), SAML (Security Assertion Markup Language) és a Web Services/SOAP Message Security.

Korábban az OTP jelszót használó megoldások kizárólag végfelhasználói eszközökre korlátozódtak, amik nem kapcsolódtak hálózathoz, vagy akár csak egy klienshez, hanem önmagukban gyártották le az éppen aktuális, teljesen új jelszót. Lewis beszámolója szerint ugyan a megoldást sokan felhasználták, és használják még ma is, a nagyvállalati átvételhez szükség volt arra, hogy mindez összekötött rendszereken is működhessen.

Facebook
Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig: Veres-Szentkirályi András (Silent Signal), Balázs Zoli (MRG Effitas), Marosi-Bauer Attila (Hacktivity) és sokan mások. A standupot Felméri tolja.